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(57) Abstract 

The distribution is controlled by means of central certificates acting 
as a link between the authorizations granted to various users and die 
right-of-access code allocated to the software products in connection with 
a special separated control program. The certificates are issued to users 
on request and intended for calling the wanted software products. Such 
certificates can be supplemented with distinct control functions. Said 
functions are executed by the control program, which is supplemented 
accordingly, especially for recording data on the utilization volume. The 
invention also relates to the following items: key safety, use of a chip card, 
integrated copy protection. 

(57) Zusammenfassung 

Die Verteilung wird durch zentrale Zertifikate als Bindeglied zwis- 
chen den den einzelnen Nutzem zugeteilten Berechtigungen und den den 
Software-Objekten zugeordneten Berechtigungskennzeichen in Verbindung 
mit einem gesonderten Steuerprogramm gesteuert. Die Zertifikate wer- 
den den Nutzem auf Anforderung zugestellt und dienen zum Abruf 
der gewunschten Software-Objekte. Zertifikate konnen durch gesonderte 
Steuerfunktionen ergSnzt werden, die vom entsprechend ergfinzten Steuer- 
programm ausgefuhrt werden, so zum Beispiel fiir eine Ertassung von Daten 
tiber den Nutzungsumfang. Weiterhin: Sicherung Ober Schlussel, Verwen- 
dung einer Chipkarte, integrierter Kopierschutz. 
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Verfahren zur Steuerung der Verteilung und Nutzung von Soft- 
ware-Ob jekten bei vernetzten Rechnern 

5 

Die Erfindung betrifft ein Verfahren fttr Datennetze, bei de- 
nen Datensainmlungen Oder Programme als Sof tware-Objekte an 
zentraler Stelle verwaltet und auf Anforderung von mit dem 
Datennetz gekoppelten Rechnern uber das Datennetz vortiberge- 
10 hend dem jeweils anfordernden Rechner zur Nutzung zur Verfu- 
gung gestellt werden, wobei die Nutzung an den Nutzern zuge- 
teilte Berechtigungen gekoppelt ist. 

Ober Datennetze konnen Datenbanke angesteuert und dortige Da- 
15 tensammlungen abgefragt werden, Auch Programme konnen uber 

Datentnetze den angeschlossenen Rechnern auf Anforderung zur 
Verfiigung gestellt werden. In beiden Fallen bietet die zen- 
trale Verwaltung derartiger Sof tware-Obj ekte den Vorteil, dafi 
immer der neueste Inf ormationsstand oder die neueste Pro- 
20 grammversion verfugbar ist. Der Zugriff ist meistens an ent- 
sprechende Berechtigungen gebunden, die mit Bezug auf die 
einzelnen Sof tware-Objekte sehr unterschiedlich sein konnen. 
Auch sind far die Nutzung der Sof tware-Obj ekte vielfach Ge- 
btihren zu entrichten, so dafi eine Erfassung des Nutzungsum- 
25 fanges notwendig ist. 

Aufgabe der Erfindung ist es, die in Verbindung mit einer 
zentralen Verwaltung von Sof tware-Obj ekten gegebenen Probleme 
der Zugangsberechtigung und der Nutzungserf assung gtinstig zu 
30 losen und dabei im gesamten Datennetz eine einheitliche und 

flexibel anpafibare Verteilung und Nutzung zu ermoglichen, die 
den verschiedensten Anf orderungen gerecht wird. 

Ausgangspunkt fur eine derartige Losung ist das durch die 
35 Merkmale des Patentanspruches 1 gekennzeichnete Verfahren. 

Danach wird der Zugang zu den Sof tware-Obj ekten durch zentral 
erstellte, benutzerspezif ische Zertifikate in Verbindung mit 
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einem gesonderten Steuerprogramm geregelt. Durch die damit 
gegebene zentrale Verwaltung der Nutzungsrechte kann sehr 
flexibel auf Anderungen von Zugrif f srechten der Nutzer rea- 
giert und netzweit ein einheitlicher~ Verteilungsmechanismus 
5 verwendet werden. 



Die Zertifikate und das gesonderte Steuerprogramm eroffnen 
auiierdem die Moglichkeit, weitere Funktionen in einheitlicher 
Weise zu realisieren, indem diese durch weitere Steuerparame- 
10 ter bzw. entsprechende Programmf unktionen erganzt werden. So 
kann entsprechend einer Weiterbildung wahrend eines Programm- 
laufs ein weiteres Sof tware-Obj ekt automatisch angefordert 
und nachgeladen werden, wenn sich eines der vorliegenden Zer- 
tifikate auf dieses weitere Sof tware-Obj ekt bezieht. 

15 

Weiterhin in einfacher Weise durch das erganzte gesonderte 
Steuerprogramm die Erfassung des Nutzungsumf anges abhangig 
von entsprechenden Angaben im Zertifikat gesteuert werden, 
wobei verschiedene Moglichkeiten der Erfassung gegeben sind. 

20 

Eine weitere vorteilhafte Ausgestaltung ergibt sich durch die 
Meldung der Daten uber die Nutzungserf assung an eine zentrale 
Verwaltungsinstanz im Netz, so dafi jederzeit Auskunft Uber 
die eingesetzten Sof tware-Obj ekte und deren Nutzungsumf ang 

25 gegeben werden kann. Der Zeitpunkt und der Umfang der Meldung 
kann unterschiedlich so gestaltet werden, daB die Riickmeldung 
nach Ablauf der GUltigkeitsdauer eines Zertifikats erfolgt 
und die zu diesem gehorigen objektbezogenen Erf assungsdaten 
umfafit oder die Riickmeldung nach Ablauf der Gtiltigkeitsdauer 

30 filr das gesonderte Steuerprogramm erfolgt und alle vorliegen- 
den Erf assungsdaten umfafit. 

Das Verfahren kann auch auf Netze mit mehreren eigenstandigen 
Verwaltungsinstanzen fur Sof tware-Obj ekte ausgedehnt werden. 

35 

Ein weiterer Vorteil besteht darin, dafi das Verfahren mit 
verschiedenen Sicherheitsstandards arbeiten kann. Zweckmafiig 
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ist es, wenn alle Verbindungsherstellungen im Datennetz und 
Obertragungen durch SchlUssel gesichert erfolgen, die zweck- 
niafiig„auf einer benu;tzerbezpgenen^ gespeichert sind 

Die Verwendung einer Chipkarte als Datentrager bindet den 
5 , Nutzer auch nicht an einen lokalen~Arbeitsplatz, er kann 
vielmehr von jedem Rechner im Netz aus tatig werden. Dabei 
wird die Chipkarte zweckmafiig auch fur die Erfassung der Da- 
ten Uber den Nutzungsumf ang verwendet. 

10 Weiterhin kann der Kopierschutz von Sof tware-Objekten in ein 
facher Weise durch entsprechende Erganzung der zugehorigen 
Zertifikate und des gesonderten Steuerprogramms sicherge- 
stellt werden. 

15 Weiterhin kann der das Steuerprogramm iiberpriifen, ob angefor 
derte Sof tware-Objekte bereits auf dem anfordernden Rechner 
verfUgbar ist und bei positivem Ergebnis die lokale Bereit- 
stellung des Sof tware-Objektes veranlassen. Die mehrmalige 
Obertragung des Sof tware-Objekte zum Rechner kann so unter- 

2 0 bleiben und die Performance erhoht werden, 

Insgesamt ermoglicht die Erfindung bei zentraler Software- 
und Rechte-Verwaltung eine dezentrale Sof tware-Nutzung. Sie 

25 basiert auf Technologies - welche skalierbare Sicherheit ge- 
wahrleisten und hochste Sicherheitsanf orderungen erfUllen 
konnen. Auch lost die Erfindung die Verteilung und Nutzungs- 
erf assung giiltiger Sof tware-Versionen sowie die Loschung 
nicht mehr ben6tigter Versionen weitgehend automatisch. Eine 

30 Auskunft Uber die eingesetzten Sof tware-Objekte sowie Uber 
;r™~ihr^:Mut:^4Ing^ i~3~t~j^de'r2eit moglich. Eine netzweite Erfassung 
der Daten Uber den Nutzungsumf ang kann periodisch durchge- 
~fUhrt^erd^n™und ist~parametrisierbar, z. B. monatlich. Nut- 
zer k6nnen Software auf beliebige am Netz angeschlossene 

35 Rechner-J.-aden-- und— axiwenden.- Eine zentrale Verwaltung ermog- 
licht die netzweite Einhaltung von Verteilungs- und Nutzungs 
regeln. Gleichwohl kann dem Nutzer _jdie Freiheit gewahrt wer- 
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den, Einstellungen entsprechend der individuellen Gegeben- 
heiten seines Arbeitsplatzes vorzunehmen. 

Einzelheiten der Erfindung seien nachf olgend anhand eines in 
5 der Zeichnung dargestellten Ausf uhrungsbeispiels naher erlau- 
tert. Im einzelnen zeigen 

FIG 1 ein Ubersichtsschema der fur die Durchfuhrung des 

Verfahrens gemafi der Erfindung benotigten Netzwerk- 
10 komponenten, 

FIG 2 eine schematische Darstellung einer mit verschiedenen 
Schlusseln und Programmen geladenen Chipkarte und 

FIG 3 ein Ablauf diagramm des Verfahrens gemafi derErf indung . 



15 FIG 1 zeigt ein Netzwerk mit beispielsweise einem von mehre- 
ren Arbeitsplatzrechnern AR, der zur Nutzung aus dem Netz ge- 
ladener Software verwendet wird, einer Chipkarte 10, die ein 
Nutzer zur Authentisierung und zum Nachweis entsprechender 
Software-Nutzungsberechtigungen verwendet, einem zentralen 

2 0 Verwaltungsrechner VR, auf dem samtliche Sof tware-Objekte und 
Software-Nutzungsberechtigungen administriert werden, und ei- 
nem beliebigen Netzrechner NR , auf dem Sof tware-Obj ekte ge- 
speichert sind, die bei Anforderung auf den Arbeitsplatzrech- 
ner AR geladen werden konnen. Die Rechner sind Uber ein ubli- 

2 5 ches Datenkommunikationsnetz 30 - zweckmaBigerweise tiber ein 
Internet oder Intranet - miteinander verbunden. Verwaltungs- 
rechner VR und Netzrechner NR sind zwar logisch getrennt dar- 
gestellt, sie konnen aber auf derselben Hardwareplattf orm in- 
stalliert sein. 

30 

Der Verwaltungsrechner VR enthalt z. B. ein Software- 
Administrationsprogramm 41, im folgenden SOA-Programm ge- 
nannt, ein Programm zur Erfassung der Sof tware-Nutzungsdaten 
42, im folgenden SUC-Programm genannt, ein Programm zur Admi- 
35 nistration der Software Nutzungsrechte samtlicher Nutzer im 

Netz 43, im folgenden USAR-Programm genannt, und ein Programm 
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zur Ausstellung von Zertif ikaten zum Zwecke der Software- 
Nutzung 44, im folgenden ISOProgramm genannt. 

Das SOA-Programm 41 kann auf exist ierenden Produkten, z. B. 
5 SMS von Microsoft, basieren, die aber gegebenenf alls erwei- 
tert werden mUssen. Es administriert eine Datenbank 45 der im 
Netz verfiigbaren Sof tware-Ob jekte . In der Sof tware-Obj ekt- 
Datenbank werden relevante Inf ormationen und Eigenschaf ten 
der einzelnen Objekte gefuhrt , z. B. Hersteller, Versions- 

10 Nr., Grofie, Location im Netz, Kopierschutz, usw. In dieser 

oder in einer separaten Datenbank wird je Objekt ein Rollen- 
kennzeichen gefiihrt, das angibt, welchen Rollen im Unterneh- 
men Zugriff auf das jeweilige Sof tware-Ob j ekt erlaubt ist. 
Typische Rollen im Unternehmen konnen z. B. sein: Software- 

15 Engineer, Marketing-Direktor, Executive-Manager, Der Inhalt 
der Sof tware-Ob j ekt-Datenbank kann z. B. nach den Spezifika- 
tionen des Security Modells von Microsoft vorgenommen werden. 



Das SUC-Progranom 42 fuhrt in einer Datenbank 4 6 dynamisch die 
20 Sof tware-Nutzungsdaten, d.h. den aktuellen Stand der auf al- 
ien Arbeitsplatzrechnern AR genutzten Software. Aktuelle Da- 
ten konnen hier jederzeit abgefragt werden. 

Mittels des USAR-Programms 43 werden in einer Datenbank 47 
2 5 die relevanten Rollen sowie die Zuordnung zu samtlichen Nut- 
zern im Netz definiert und verwaltet. Jedem Nutzer konnen ei- 
ne oder mehrere Rollen zugewiesen werden. Die Anzahl der Rol- 
len ist beliebig erweiterbar. 

30 Das ISOProgramm 44 stellt den Nutzern auf Anforderung soge- 
nannte „User Software Certificates^ USC zur Verftigung, durch 
welche die Berechtigung zur Nutzung von Software erteilt 
wird. Zur Ausstellung der Zertifikate USC benotigt das ISC- 
Programm 44 Zugriff auf die Datenbanke 47 und 45. 

35 

Die Kommunikation zwischen dem Verwaltungsrechner VR und den 
Arbeitsplatzrechnern erfolgt zweckmafiigerweise Ober einen 
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WWW-fahigen Server 48, z. B. Microsofts Internet Information 
Server oder Netscape's Internet Server, Die Programme 41, 42, 
43, und 4 4 konnen beispielsweise als Backend- Applikationen 

■.c Uber sogenannte CGI-Scripts angebunden sein. 

5 

Das Administrator-Interface zur Administration der SOA- und 
USAR-Pro gramme 41 und 43 bzw. das Recherche-Interface fur das 
SUC-Programm 42 kann z. B. ein beliebig im Netz lokalisierter 
Browser 60 sein* 

10 

Auf dem Arbeitsplatzrechner AR ist zweckmaBigerweise ein wei- 
terer Browser 21 installiert, welcher die Kommunikation mit 
den Rechnern VR und NR abwickelt- Die Sof tware-Komponente 22, 
im folgenden SCV-Programm genannt, wird bei jeder Anfrage des 

15 Arbeitsplatzrechners AR auf Zuteilung von Sof tware-Nutzungs- 
rechten zusammen mit einer sogenannten HTML-Page zweckmafii- 
gerweise mittels Protokoll HTTPS, z. B. als ActiveX Control 
oder als „Plug in", vom Verwaltungsrechner VR zum Arbeits- 
platzrechner AR ttbertragen. Die HTML-Page stellt als Liste 

20 ASL am Bildschirm die erlaubten Zugrif f smoglichkeiten auf 
Netz-Sof tware dar. 

Bei einer Download-Anforderung verifiziert das SCV-Programm 
mittels der Zertifikate USC die Nutzungs-Berechtigung. Das 
25 SCV-Programm steuert desweiteren die Erfassung der Software- 
Nut zungsdaten, z. B. Anzahl der Downloads, Nutzungszeit einer 
SW, usw. . 

Die Programme 24 bis 2x sind z. B. Anwendungsprogramme, die 
30 der Nutzer aus dem Netz geladen hat und anwendet. 

Die Chipkarte 10 wird tiber einen ublichen, am Arbeitsplatz- 
rechner AR angeschlossenen Chipkartenleser 23 betrieben. Die 
Karte entspricht zweckmafiigerweise dem Standard 7816. Vor- 
35 teilhafter ist aus Sicherheitsgrunden eine Chipkarte mit 

Cryptocontroller, wie z. B. SLE 44CR80S von Siemens, da diese 
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far offene Netze, wie z. B. das Internet mit auf Public Key- 
Basis arbeitenden Sicherheitsmechanismen, besonders geeignet. 

Chipkartenanwendungen und Chipkartenleser konnen z. B. im Ar- 
5 beitsplatzrechner AR entsprechend den von der „PC/SC Work- 
group^ festgelegten Spezif ikationen und Interfaces, unter- 
sttitzt werden, Weitere Information dazu sind unter 

http://www.smartcardsys.com. 

10 

zu finden. 

Jeder Nutzer am Netz erhalt eine individuelle Chipkarte. Die 
Chipkarte wird vor Auslieferung an den Nutzer in einem soge- 

15 nannten Personalisierungsprozefl, z. B. bei einem Kartenher- 
steller, mit den personlichen Daten des Nutzers personalis 
siert. Mindestens mussen, wie FIG 2 zeigt, ein privater 
Schlussel 11a und ein Zertifikat des offentlichen SchlUssels 
lib des Nutzers auf die Karte gespeichert (personalisiert) 

20 werden. Der private Schlussel und das Zertifikat des offent- 
lichen SchlUssels des Nutzers werden z. B. in einem Trust 
Center erzeugt und auf sicherem Wege der Personalisierungs- 
stelle zur Verftigung gestellt, wo sie dann in Oblichen Ver- 
fahren auf die Chipkarte gespeichert werden. 

25 

Mittels dieses Schlussel-Zertif ikatspaares lla/llb und eines 
entsprechenden Paares auf dem Verwaltungsrechner VR kann nach 
heute tiblichen Verfahren, z. B. SSL V3.0, eine beidseitige 
und sichere Client/Server-Authentisierung durchgeftihrt wer- 
30 den. Dies ist die Voraussetzung fur die sichere Obertragung 

von Zertifikaten USC, die der Nutzer zur Nutzung von Software 
benotigt. 

Je nach Sicherheitsanf orderungen konnen weitere SchlUssel- 
35 Zertifikatspaare 12a/12b - z. B. fur einen Intergritatsschutz 
von Zertifikaten USC oder die sichere Kommunikation zwischen 
Programmen auf dem Verwaltungsrechner VR und dem Arbeitsrech- 
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ner AR oder fur das Nachladen von Schltisseln oder Anwendungen 
auf die Karte iiber das Netz - auf die Chipkarte personalis 
siert bzw. im Netzbetrieb nachtraglich mittels sicherer Ver- 
fahren auf die Chipkarte geladen werden. 

5 

Bereits bei der Personalisierung oder ebenfalls im Netzbe- 
trieb werden Applikationsprogramme 13a bis 13x auf die Chip- 
karte geladen, die der Erfassung der Sof tware-Nutzung, z. B. 
Anzahl der Downloads oder Zeiterf assung, dienen. 

10 

Anhand von FIG 3 wird das Verfahren des Software-Downloads, 

•aw. -i 

der Sof tware-Nutzung und der Nutzungserf assung erlautert. 
Folgende Verf ahrensschritte werden dabei ausgeftihrt: 

15 100: Der Nutzer meldet sich beim Verwaltungsrechner VR an und 
authentisiert sich mittels des Ublichen HTTPS-Protokoll 
im SSL-Dialog unter Verwendung seines privaten Schlus- 
sels auf der Chipkarte. 
200: Der Verwaltungsrechner VR authentisiert sich ebenfalls 
20 und identif iziert den Nutzer. 

210: Der Verwaltungsrechner VR stellt unter Auswertung der 

Datenbanke 45 und 47 die Inhalte der nutzerspezif ischen 
Zertifikate USC bereit. Dabei werden Zertifikate fttr jene 
Software-Objekte erstellt, deren Rollenkennzeichen mit 
25 einer oder mehreren Rollen, die der Nutzer besitzt, 

tibereinstimmt . 

Ein Zertifikat USC kann z. B. enthalten: Software-ID, 
Versions-Nr . , Location im Netz, Gr6fie des Software- 
Objekts, Art der Nutzungserf assung, Zeitintervall der 
30 Erfassungsmeldung an den VR, Loschungsmodus, GUltig- 

keitsdauer des USC, ID des ausstellenden Verwaltungs- 
rechners VR. 

Bei der Art der Nutzungserf assung konnen z. B. folgende 
Parameter Verwendung finden: Erfassung der Download- 
35 Anzahl, Erfassung der aktiven Nutzungszeit, keine Erfas- 

sung. 



JSDOCID: <WO 9912088A1_I_> 



WO 99/12088 PCT/DE98/02517 



9 

220: Die bereitgestellten Zertifikate USC werden mit dem Pu- 
blic Key des Nutzers im Verwaltungsrechner VR integri- 
tatsgeschiitzt, gegebenenf alls auch zusatzlich mit im In- 
ternet iiblichen Verfahren verschlilsselt, ) und eingebun- 
5 den in die HTML-Page ASL zusammen mit dem SCV-Programm 

22 an den Arbeitsplatzrechner AR iibertragen. 
Da das SCV-Programm im Arbeitsplatzrechner AR sicher- 
heitsrelevante Funktionen ausfiihrt, sollte es zweckmafiig 
mit einer digitalen Signatur des Verwaltungsrechner VR 
10 versehen sein. 

110: Im Arbeitsplatzrechner AR erscheint die HTML-Page ASL 

auf dem Bildschirm. Sie zeigt alle dem Nutzer zugangli- 
chen Sof tware-Objekte an. 

Implizit ist eine Gtlltigkeitsdauer in der HTML-Page ent- 
15 halten, nach deren Ablauf sich die Page samt des SCV- 

Programm und der Zertifikate USC zerstOren. Fur die Dau- 
er der Gtiltigkeit wird sie im Browser verftigbar gehalten 
und kann nach jedem Einschalten des Arbeitsplatzrechners 
AR ohne Kommunikation mit dem Verwaltungsrechner VR auf- 
20 gerufen werden. Nach jedem Aufruf des SCV-Programms kann 

vorzugsweise eine Verifikation der digitalen Signatur 
erfolgen, urn Manipulationen zu vermeiden bzw. zu ent- 
decken. 

120: Der Nutzer kann nun die zum Download gewunschten Soft- 
25 ware-Ob jekte anklicken. Dadurch wird automatisch das 

SCV-Programm gestartet. Das SCV-Programm und die betref- 
fenden Zertifikate USC werden daraufhin unter Verwendung 
der auf der Chipkarte befindlichen Schlussel verifi- 
ziert . 

30 130: Nach positiver Verif izierung ermittelt das SCV-Programm 
die Netzrechner-Adresse (n) aus dem(n) Zertifikaten USC 
und stellt die WWW-Verbindung zum ersten Netzrechner NR 
her. (Nach abgeschlossenem Download gegebenenf alls auch 
zu weiteren Netzrechnern NR.) 
35 130/300: Es erfolgt die gegenseitige Authentisierung zwischen 
Arbeitsplatzrechner AR und Netzrechner NR entspre- 
chend einem ublichem Verfahren. 
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310/140: Danach kann das Programm 51 das (die) gewunschte (n) 
Sof tware-Objekt (e) selektieren und an den Arbeits- 
platzrechner AR senden. 
320: Zur Erhohung der Sic-herheit, " insbesondere bei Anwendung 
5 des Verfahrens im Internet, kann es sinnvoll sein, im 

Netzrechner NR ebenfalls eine Verif izierung der Zertifi- 
kate USC mittels des Programms 53 nach ttblichen Verfah- 
ren vorzunehmen. Beispielsweise werden die Zertifikate 
USC im Arbeitsplatzrechner AR mit dem Private Key des 

10 Nutzers signiert und im Netzrechner NR mit seinem Public 

Key verif iziert. In diesem Fall wiirde die Freigabe des 
angef orderten Sof tware-Obj ekts aus der Objektdatenbank 
52 erst nach positiver Verifikation erfolgen, wie ge- 
strichelt angedeutet. 

15 Eine weitere Erhohung der Sicherheit kann dadurch er- 

reicht werden, dafi das zu iibertragende Sof tware-Obj ekt 
im Netzrechner NR mit einer digitalen Signatur versehen 
wird und im Arbeitsplatzrechner AR vor Nutzung eine Ve- 
rifikation er'folgt. Damit konnte eine Verfalschung des 

20 Objektes bei der Netzubertragung entdeckt werden. 

150: Im nachsten Schritt stellt auf dem Arbeitsplatzrechner 
AR das SCV-Programm 22 anhand der USC-Parameter die Art 
der Nutzungserf assung fest und wird entsprechend tatig. 
Beispielsweise wird, wenn der Parameter „Erfassung der 

25 Anzahl von Downloads" gesetzt ist, eine objektbezogene 

Zahleranwendung auf der Chipkarte, z. B. 13a in FIG 2, 
aktiviert und der Zahler erhoht- Zahlvorgange auf der 
Chipkarte werden zweckmaJiig in iiblicher Weise kryptogra- 
phisch abgesichert durchgeftihrt . 

30 160: Der Nutzer erkennt nach dem Download an Hand der Liste 
ASL auf dem Bildschirm, welche Software lokal vorhanden 
ist, und kann den Start per Klick auslosen. 
170: Dadurch wird gleichzeitig - falls ein dementsprechender 
USC-Parameter gesetzt ist - die Nutzungszeiterf assung 

35 durch das SCV ausgelGst und die Nutzungszeit wahrend der 

aktiven' Nutzung periodisch erfalit, indem das SCV- 
Programm 22 einen obj ektbezogenen Zeitzahler auf der 
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Chipkarte, z. B. 13b in FIG 2, von Zeit zu Zeit 
(parametrisierbar) erhoht . 
180: Nach Beendigung der Nutzung eines geladenen Software- 

Objektes auf dem Arbeitsplatzrechner AR entscheidet das 
5 SCV-Programm 22 anhand des 'Loschungsmodus-Parameters, ob 

das Prograram geloscht oder im Arbeitsplatzrechner AR ge- 
speichert wird. 

190: Eine Nutzungserf assungs-RUckmeldung an den VR wird ent- 
weder durch Ablauf des Zeitintervall-Parameters eines 

10 Zertifikats USC oder durch Ablauf eines Zeitintervalls 

im SCV-Programm 22 ausgelost. Im Falle der Zertifikats- 
Auslosung sind nur die zum betreffenden Zertifikat USC 
gehorenden 'objektbezogenen Erf assungsdaten betroffen, im 
SCV-Auslosungsfall die Erf assungsdaten samtlicher Zerti- 

15 fikate USC. Entsprechend werden die zugehSrigen Down- 

load-Zahler und Nutzungszeitzahler aus der Chipkarte 10 
ausgewahlt. 

195/230: Nach der Ublichen gegenseitigen Authentisierung zwi- 
schen Arbeitsplatzrechner AR und Verwaltungsrechner 
10 VR werden die ausgewahlten Zahlerstande an den Ver- 

waltungsrechner VRUbertragen . 
240: Im Verwaltungsrechner VR werden die entsprechenden Er- 
fassungsdaten mittels des SUC-Programms 42 ausgewertet 
und in die Datenbank 4 6 eingetragen. 



15 



Bei Ziehen der Chipkarte erscheint z. B. eine Dialogbox mit 
der Warming, daB das Programm nach einer bestimmten Zeit 
(parametrisierbar) geloscht wird, wenn die Karte nich/t wieder 
eingeftlhrt wird. 

Das beschriebene Verfahren ermoglicht durch die zentrale Ver- 
waltung der Nutzungsrechte und Nutzungserf assungsparameter im 
Verwaltungsrechner VR eine netzweit einheitliche und flexibel 
anpafibare Sof tware-Verteilung und -Nutzung. Gleichwohl kann 
der Nutzer einzelne Parameter andern oder selbst bestimmen, 
falls ein entsprechender USC-Parameter diesen Freiheitsgrad 
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erlaubt. Z. B. kann der Nutzer das Loschen oder Speichern ei- 
nes Programms nach Nutzung selbst entscheiden. 

Im Falle der Anderung einzelner USC-Parameter durch den Nut- 
5 zer bleibt das ursprunglich integritatsgeschutzte Zertif ikat 
USC unverandert, wodurch gewahrleistet wird, dafi bei wieder- 
holten Downloads jeweils eine Integritats-Verif ikation durch- 
gefUhrt werden kann. 

10 Die Funktionalitat kann dadurch erweitert werden, dafi ein au- 
tomatischer Download durch das SCV-Programm 22 ftir den Fall 
ausgelost wird, wenn ein Sof tware-Objekt zur Laufzeit ein an- 
deres Sof tware-Objekt aufruft, z. B. OLE-Technik, das nicht 
auf dem Arbeitsplatzrechner AR verftigbar ist, dessen Identi- 

15 tat aber in einem der Zertifikate USC festgestellt werden 
kann . 

Der Nutzer in einem Netzwerk kann das Verfahren von beliebi- 
gen am Netz angeschlossenen Rechnern aus anwenden, wenn er 

20 jeweils seine individuelle Berechtigungs- und Erfassungs- 

Chipkarte an diesem Rechner betreiben kann. Bei einem Rech- 
nerwechsel mufi er lediglich vor dem ersten Download eines 
Sof tware-Objektes mit dem Verwaltungsrechner VR kommunizie- 
ren, um sich die aktuellen Rechte entsprechend dem oben be- 

25 schriebenen Verfahren erteilen zu lassen. 

Bei fortschreitender Chipkarten-Technologie kann die HTML- 
Page mit der Liste ASL und das SCV-Programm auf der Chipkarte 
gespeichert sein und zum Ablauf gebracht werden. In diesem 
30 Fall entf&llt bei Rechnerwechsel die Kommunikation mit dem 
VR. 

Aus Sicht des Nutzers lSBt sich das Verfahren auch auf ver- 
35 schiedene, voneinander unabhangige Netze anwenden, z. B. In- 
tranet fttr Rechte innerhalb der eigenen Firma, Extranet ftir 
Rechner in einer Partnerf irma, Internet fur Rechte zur welt- 
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weiten Nutzung. Das kann mit ein und derselben oder mit sepa- 
rately Chipkarten erfolgen. Bei Verwendung derselben Chipkarte 
mlissen separate Schltissel far die verschiedenen Verwaltungs- 
rechner VR zur Verfugung stehen. 

5 " 

Eine Erweiterung des Verfahrens ist auch dadurch moglich, dali 
Mechanismen zum Kopierschutz in das beschriebene Verfahren 
einbezpgen werden. Hierzu wird fur Sof tware-Obj ekte, die ko- 
10 piergeschutzt sein sollen, unter Verwendung des Public Key 

des Nutzers eine sog. „Key File" erzeugt, die der Nutzer nach 
dem Download des Sof tware-Objekts erhalt. Nur mit dieser „Key 
File" und unter Verwendung des Private Key des Nutzers kann 
das Sof tware-Obj ekt genutzt werden. 

15 

Durch Festlegung eines USC-Parameters „kopiergeschiitzt" und 
Erweiterung der Funktionen des SC V-Programms fur die erfor- 
derliche Kommunikation zwischen Arbeitsplatzrechner AR und 
Verwaltungsrechner NR sowie Arbeitsplatzrechner AR und Chip- 
20 karte 10 entsprechend der ftlr den Kopierschutz festgelegten 

Verfahren, laiit sich der Kopierschutz einfach in das hier er- 
lauterte Verfahren integrieren. 

Fur das Verfahren konnen auiierdem multif unktionale Chipkarten 
25 verwendet werden, die z. B. auch fur andere Netzanwendungen 
eingesetzt werden. Vorzugsweise ist eine Kombination mit An- 
wendungen zur Identif ikation im Netz sinnvoll. Solche Anwen- 
dungen konnten z. B. sein: WWW-Client Authentif ikation gegen- 
Uber einem Internet Server, WWW-Client Identif ikation bei 
30 Mail (z. B, S/MIME) , WWW-Client Identif ikation zur Gewahrung 
von Zugrif f srechten auf Netzressourcen. 

Das Verfahren kann generell auch - bei geringeren Sicher- 
heitsanforderungen - ohne die Verwendung von Chipkarten ange- 
35 wandt werden. Die auf der Chipkarte befindlichen Schlussel 
und Zahler konnen z. B. auch auf einer Diskette (z. B. mit 
einem Paflwort verschlusselt ) gefUhrt werden, und die auf der 
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Chipkarte durchgefuhrten Operationen konnte das SCV-Programm 
22 Ubernehmen. 



5 ' 



JSDOCIO <WO 9912088A1_I_> 



WO 99/12088 



PCT/DE98/02517 



15 

Patentanspruche 

1. Verfahren zur Steuerung der Verteilung und Nutzung von als 
Sof tware-Objekte bezeichnete Datensammlungen Oder Programme 
5 bei iiber ein Datennetz (30) gekoppelten Rechnern (AR) an zen- 
traler Stelle (NR) verwaltet und auf Anforderung voriiberge- 
hend dem jeweils anfordernden Rechner (AR) zur Nutzung zur 
Verfiigung gestellt werden, wobei 

- die Nutzungsrechte in Form von benutzerspezif ischen Zerti- 
10 fikaten (USC) ausgebildet sind, die als Bindeglied zwi- 

schen den den einzelnen Benutzern zugeteilten Berechtigun- 
gen und den Sof tware-Obj ekten zugeordneten Berechtigungs- 
kennzeichen erstellt werden; 

- bei jeder Anfrage nach einem Sof tware-Objekt an eine zen- 
15 trale Verwaltungsinstanz (VR) die Zertifikate (USC) je- 
weils nutzerbezogen an den anfordernden Rechner (AR) uber- 
tragen werden; 

- die Zertifikate (USC) vor der Nutzung der Sof tware-Ob j ekte 
mittels eines personlichen Datentragers (10) verifiziert 

20 werden und die Nutzung auf dem selben Datentrager (10) er- 

fafit wird; 

- ein gesondertertes Steuerprogramm (SCV-Programm 22) im an- 
fordernden Rechnern (AR) auf Basis der Nutzungsrechte die 
das Sof tware-Objekt betreffenden Aktionen steuert und Sta- 

25 tusmeldungen an die zentrale Stelle (NR) meldet. 

2. Verfahren nach Anspruch 1, bei dem das Steuerprogramm 
(SCV) von der zentralen Stelle' (NR) zum anfordernden Rechner 
(AR) ubertragen wird und vor seiner Nutzung mittels des per- 

30 sonlichen Datentragers (10) verifiziert wird. 

3. Verfahren nach einem der AnsprUche 1 oder 2, bei dem die 
benutzerspezif ischen Zertifikate (USC) auf dem als Chipkarte 
ausgebildeten Datentrager (10) gespeichert werden. 

35 
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4. Verfahren nach Anspruch 3, bei dem das Steuerprogramm 
(SCV) im Datentrager (10) residiert und zumindest teilweise 
dort ausgeftihrt wird. 

" -tow 

5 5- Verfahren nach einem der Ansprtiche 1 bis 4, bei dem der 
Datentrager (10) mit beliebigen Rechnern (AR) des Datennetz 
(30) gekoppelt werden kann. 

6. Verfahren nach einem der Ansprtiche 1 bis 5, bei dem das 
10 steuerprogramm (SCV) iiberprtift ob angeforderte Software- 
Obi ekte bereits auf dem Rechner (AR) verfugbar ist und bei 
positivem Ergebnis die lokale Bereitstellung des Software- 
Ob jektes veranlaflt. 

15 7. Verfahren nach einem der Ansprtiche 1 bis 6, bei dem nach 
Obertragung der Zertifikate (USC) ein Verzeichnis der den 
Zertifikaten entsprechenden Software-Ob j ekte auf dem Bild- 
schirm des anfordernden Rechner s (AR) dargestellt wird und 
die Anforderung ftir das jeweils gewunschte Sof tware-Objekt 

20 durch den Nutzer ausgelost wird, 

8. Verfahren nach einem der Ansprtiche 1 bis 7, bei dem die 
Bereitstellung der Sof tware-Objekte durch verschiedene Rech- 
ner (NR) im Netz (30) erfolgen kann. 

25 

9. Verfahren nach einem der Ansprtiche 1 bis 8, bei dem in den 
Zertifikaten (USC) enthaltene Steuerparameter durch den Nut- 
zer anderbar sind, ohne dafi ein bestehender Integritatsschutz 
verloren geht. 

30 

10. Verfahren nach einem der Ansprtiche 1 bis 9, bei dem ein 
wahrend der Laufzeit eines Programms als Sof tware-Objekt auf- 
gerufenes weiteres Programm, das in einem der vorliegenden 
Zertifikate (USC) bezeichnet ist, automatisch durch das ge- 

35 sonderte Steuerprogramm . (22 ) angefordert und daraufhin an den 
die Anforderung stellenden Rechner (AR) tibertragen wird. 
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11. Verfahren nach einem der Ansprliche 1 bis 10, bei dem die 
Loschung von Sof tware-Obj ekten automat isch bei Beendigung ih- 
rer Nutzung erfolgt. 

5 12. Verfahren nach einem der Ansprttche 1 bis 11, bei dem die 
Zertifikate (USC) Angaben Ober die Art der Erfassung des Nut- 
zungsumf anges der an einen anfordernden Rechner (AR) iibertra- 
genen Sof tware-Obj ekte enthalten und dafi das gesonderte Steu- 
erprogramm (22) auf Grund dieser Angaben die Erfassung des 
10 Nut zungsumf anges steuert. 

13. Verfahren nach Anspruch 12, bei dem der Nut zungsumf ang 
durch Zahlung der ubertragenen Sof tware-Obj ekte erfolgt. 

15 14. Verfahren nach Anspruch 12, 
dadurch g e k e n n z e i c h n e t , 

dafi der Nutzungsumf ang durch Zahlung von periodisch wieder- 
kehrenden Taktimpulsen erfolgt. 

20 15. Verfahren nach einem der Anspruche 12 bis 14, bei dem die 
Erfassung der Daten liber den Nutzungsumf ang auf dem Datentra- 
ger (10) erfolgt. 

16. Verfahren nach einem der Anspruche 1 bis 15, bei dem in 
25 Datennetzen (30) mit mehreren unabhangigen Verwaltungsinstan- 
zen (VR) fur Sof tware-Obj ekte jede Verwaltungsinstanz Nut- 
zungszertif ikate (USC) fUr die zu ihrem Zustandigkeitsbereich 
gehorenden Sof tware-Obj ekte erstellt. 

30 17. Verfahren nach einem der Anspruche 1 bis 16, bei dem alle 
Verbindungsherstellungen im Datennetz (30) und Ubertragungen 
durch Schliissel gesichert erfolgen. 

18. Verfahren nach Anspruch 17, bei dem die Schliissel auf dem 
35 Datentrager (10) enthalten sind. 
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19. Verfahren nach einem der Ansprtiche 1 bis 18, 
dadurch gekennzeichnet, 

dafi dem Kopierschutz unterliegende Software-Objekte durch zu- 
satzliche Steuerparameter- im zugehorigen Zertifikat (USC) und 
5 entsprechende Steuerfunktionen im gesonderten Steuerprogramm 
(22) gegen ein Kopieren gesichert werden. 



BERICHTIGTES BLATT (REGEL 91) 
ISA/EP 



O0190ARA1 | > 



PCT/DE98/02517 



1/2 



FIG 1 




10 



FIG 2 



^na ^-11b ^r12a /-12b 

□ □□£_ 

^13a ^3x yrAA a yf* 4 x 



WO 99/12088 



PCT/DE98/02517 



2/2 



FIG 3 



VR 



00 



AR 



100 



NR 



^■210 



^-220 



^^110 



120 



150 



160 



170 



^130 


< ►l / ^ 300 






, -i ; 


^140 


< ►|/-310 



180 



190 



VI 
2 



40 



^195 



INTERNATIONAL SEARCH REPORT 



Intv Clonal Application No 

PCT/DE 98/02517 



A. CLASSIFICATION OF SUBJECT MATTER 

IPC 6 G06F1/00 



According to International Patent Classification (IPC) or to both national classification and IPC 



B. FIELDS SEARCHED 



Minimum documentation searched (classification system followed by classification symbols) 

IPC 6 G06F 



Documentation searched other than minimum documentation to the extent that such documents are included in the fields searched 



Electronic data base consulted during the international search (name of data base and, where practical, search terms used) 



C. DOCUMENTS CONSIDERED TO BE RELEVANT 



Category ' 



Citation of document, with indication, where appropriate, of the relevant passages 



Relevant to claim No. 



EP 0 421 409 A (IBM) 10 April 1991 

see figures 2,5-9,13,14 

see page 3, line 35 - page 4, line 29 

see page 6, line 18 - page 8, line 27 

see page 9, line 53 - page 11, line 26 

WO 95 05050 A (TECHNOLOGY INC B V) 
16 February 1995 

see figures 1,3,4,6 

see page 13, line 29 - page 17, line 9 
see page 18, line 35 - page 21, line 3 



1-9,12, 
17-19 



1,2, 

6-13,16, 
17,19 



□ 



Further documents are listed in the continuation of box C. 



0 



Patent family members are listed in annex. 



° Special categories of cited documents : 

"A" document defining the general state of the art which is not 
considered to be of particular relevance 

"E" earlier document but published on or after me international 
filing date 

"L" document which may throw doubts on priority claim(s) or 
which is cited to establish the publication date of another 
citation or other special reason (as specified) 
"O" document referring to an oral disclosure, use, exhibition or 
other means 

"P" document published prior to the international filing date but 
. later than the priority date claimed 



T" later document published after the international f Ding date 
or priority date and not in conflict with the application but 
cited to understand the principle or theory undo riving the 
invention 

"X" document of particular relevance; the claimed invention 
cannot be considered novel or cannot be considered to 
involve an inventive step when the document is taken alone 

"Y" document of particular relevance; the claimed invention 

cannot be considered to involve an inventive step when the 
document is combined with one or more other such docu- 
ments, such combination being obvious to a person skilled 
in the art 

document member of the same patent family 



Date of the actual completion of the international search 



18 January 1999 



Date of mailing of the international search report 



25/01/1999 



and mailing address of the ISA 

European Patent Office, P.B. 5818 Patentlaan 2 
NL - 2260 HV Rijswtjk 
Tel. (+31-70) 340-2040. Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 



Authorized officer 



Weiss, P 



Form PCT/1SA/210 (second sheet) (July 1 992) 
JNSDOCID: <WO 991 2088A1_I_> 



INTERNATIONAL SEARCH REPORT 

information on patent family members 



Patent document 
cited in search report 



EP 0421409 



WO 9505050 



Publication 
date 



10-04-1991 



16-02-1995 



InU -rtional Application No 

. PCT/DE 98/02517 



Patent family 
member(s) 



Publication 
date 



us 


5048085 


A 


10-09- 


1991 


CA 


2026739 A,C 


07-04- 


■1991 


JP 


3237551 


A 


23-10- 


1991 


US 


5148481 


A 


15-09- 


•1992 


US 


5418713 


A 


23-05- 


■1995 


AU 


7519994 


A 


28-02- 


-1995 


CA 


2192814 


A 


16-02- 


-1995 


EP 


0716795 


A 


19-06- 


-1996 


US 


5794217 


A 


11-08- 


-1998 



Form PCT71SA/210 (patent family annex) (July 1992) 



INTERNATIONALER RECHERCHENBERICHT 



Inti donates Aktenzeichen 

PCT/DE 98/02517 



v. 



A. KLASSIFI2IERUNG DES ANMELDUNGSGEGENSTANDES 

IPK 6 G06F1/00 



Nach der Intemationalen Patent Massif ikation (IPK) Oder nach def nagonalen Ktasstfikation und der IPK 



B. RECHERCHIERTE GEBIETE 



Recherchierter Mlndesiprufstoff (Klassifikationssystem und Kiassrfikalionssymbole ) 

IPK 6 G06F 



Recherchierte aber nicht zum Mindestpfutstotf gehbrende Veroff entlichungen, so we it diese unter die recherchierte n Gebiete fallen 



Wahrend der Internationale n Recherche konsultierte ©Jektronische Datenbank (Name der Datenbank und evtl. verwendete Suchbegrtffe) 



C. ALS WESENTLICH ANGESEHENE U NTERLAG EN 



Kategorie" 


Bezeichnung der VeroffanWchung. soweit ertordertich unter Angabe der in Belracht kommenden Teila 


Betr. Anspruch Nr. 


X 


EP 0 421 409 A (IBM) 10. April 1991 

siehe Abbildungen 2,5-9,13,14 

siehe Seite 3, Zeile 35 - Selte 4, Zeile 

29 

siehe Seite 6, Zeile 18 - Seite 8, Zeile 
27 

siehe Seite 9, Zeile 53 - Seite 11, Zeile 
26 


1-9,12, 
17-19 


A 


WO 95 05050 A (TECHNOLOGY INC B V) 


1,2, 




16. Februar 1995 


6-13,16, 
17,19 




siehe Abbildungen 1,3,4,6 






siehe Seite 13, Zeile 29 - Seite 17, Zeile 
9 

siehe Seite 18, Zeile 35 - Seite 21, Zeile 
3 















□ 



Weitere Verottentlichungen sind der Fortsetzung von Feld C zu 
entnehmen 



Siehe Anhang Patentfamilie 



° Be so nder© Kategorien von angegebenen Veroff en tlichungen 

"A" Veroff entlichung, die den alkjemeinen Stand der Technik definlert, 
aber ntcht ats besonders bedeutsam anzusehen ist 

"E" alteres Dokument, das jedoch erst am Oder nach dem intemationalen 
Anmeldedatum veroffentticht worden ist 

"L" Verbffentlichung, die gee tg net ist, einen Prioritatsanspruch zweifelhaft er- 
scheinen zu las sen, oder durch die das Verbffentlichungsdatum einer 
anderen im Recherche nbe richt genannten Veroff entlichung belegt werden -y 
soli oder die a us einem anderen besonderen Grund angegeben ist (wie 
ausgefuhrt) 

"O" Veroff entlichung, die steh auf eine mundiiche Off enbarung, 

eine Benutzung, eine Aussteitung oder andere MaGnahmen Dezteht 
"P" Veroff entlichung, die vor dem intemationalen Anmeldedatum, aber nach 
dem beanspruchten Prioritatsdatum veroff entficht worden ist 



Spate re Verbffentlichung, die nach dem intemationalen Anmeldedatum 
oder dem Prioritatsdatum veroff entlicht worden ist und mit der 
AnmekJung nicht kollidiert, sondem nur zum Verstandnis des der 
Erfindung zugrundeliegenden Prinztps oder der ihr zugrundeliegenden 
Theorie angegeben ist 

Veroff entlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann allein autgrund dieser Veroff entlichung nicht als neu oder auf 
erf indertscher Tatigkeit beruhend betrachtet werden 

Veroff entlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann nicht als auf erfinderischer Tatigkeit beruhend betrachtet 
werden, wenn die Verbffentlichung mit einer oder mehreren anderen 
Verbffentlichungen dieser Kategorie in Verbindung gebracht wird und 
diese Verbindung fur einen Fachmann naheUegend ist 

Verbffentlichung. die Mitglied derselben Patentfamilie ist 



Datum dee Abschlusses der intemationalen Recherche 

18. Januar 1999 


Absendedatum des intemationalen Recherchenberichts 

25/01/1999 


Name und Postartschrift der Intemationalen Recherchenbehbrde 
Europaisches Patentamt. P.B. 5818 Patenttaan 2 
NL - 2280 HV Rtjswqk 
Tei (+31-70) 340-2040, Tx. 31 651 epo nl. 
Fax: (+31-70) 340-3016 


Bevollmacmigter Badiensteter 

Weiss, P 



Formblan PC17ISA/210<81an2HJu6 1992) 



NSOOCID: <WO 991 20S8A 1 J_> 



J 



INTERNATIONALER RECHERCHENBERICHT 

Angaben zu Veroffentlichungen, die zur selben PatentfamHie gehoren 



Intt Jonales Aktenzeichan 

PCT/DE 98/02517 



lm Recherchenbericht 
angefuhrtes Patentdokument 



EP 0421409 



WO 9505050 



Datum der 
Veroffentlichung 



10-04-1991 



16-02-1995 



Mitglied(er) der 
PatentfamHie 



Datum der 
VerdffentJichung 



US 


5048085 


A 


lo-oy-iyyi 


CA 


Z0Z6/ jy 


a r 
A,L 


f!7— HA— 1QQ1 
U/ UH 1:7:71 


JP 


3237551 


A 


23-10-1991 


US 


5148481 


A 


15-09-1992 


US 


5418713 


A 


23-05-1995 


AU 


7519994 


A 


28-02-1995 


CA 


2192814 


A 


16-02-1995 


EP 


0716795 


A 


19-06-1996 


US 


5794217 


A 


11-08-1998 



Foimbtan PCT/ISA/210<Anhang PatonrtamUie)(JuB 1992) 
1DOCID: <WO 9912088A1_I_> 



Specification 

. ^ nation of software ejects with 
trolling the distribution and utxl 
Method for controlling 

netw o*ed computers. ^ ^ _ 

by computer co ^ requestillgcompu ter. 
d^^or^c^P eusers 

authorizations aUocate ^ions there can be 

h aaressed via data network and ria a^ ewortetothe 
Oata bases can be address upoI> requ es, 

varied, —^tl cases, the centraf „ me most recent 

connected computers .to ^ ^ ^ mformaho COIrespon ding 

obi ects offers the ad „ most ^ ^ ^ widely . 

^ ir:^ ^ - - - J „ „ * necessary to 
r^esort.areob^.esrnostorten 

determine the extent of usage- s arising in connection 

"rr^yadaptabiedistrtbuttonandu 

^; moments. 



uniform ^ 

MgWy diverse retirements. ^ ^.eristics of 

ch a so.ution is *e -ethod character. V ^ 
B^P** *^ ly, access to me sortwar^ ^ ^ 

Patent I'atrnrict:; specific to each user " - ^ °' ^ " " 



PAGE BLANK (uspto) 



possible ,o respond high* flexibly to changes of access rights of the user and a 
network-wide uniform distribution mechanism can be apphed. 

The certificates and the separate confro. program moreover open the feasibility of 
firing further functions in a uniform manner, thereby that these 
by furfll contiol parameters or corresponding program functions. Thus, accordmg 
J. further deveiopmen. during one program run a further software object can 
automatically be requested and reloaded, if one of the present certificates relates to 
this further software object. 

Furthermore, it is possible ,o control in simple manner through the supplemented _ 
separate control program the determination of me extent of use, wherem vanous 
feasibilities of acquisition are given. 

A former advantageous implementation is obtained fhrough the report of ft, ^data 
about the usage acquisition to a central administrative instance in the network, such 
la, at any time information can be provided about the software objects uti hzed and 
2 extent of their utilization. The point in time and the extent of the report can be 
demented in different ways such that the feedback takes place after the elation 
of L validity of a certificate and comprises fte object-related acqutsttion data 
oTging to* or fte feedback occurs after expiration of fte validity for fte separate 
control program and comprises all of the available acquisition data. 

The method can also be extended to networks with several independent 
administrative instances for software objects. 

A further advantage comprises that fte method can operate with different security 
standard, It is useful if fte establishments of all connections in fte data network 
and transmissions take place secured by keys, which usefuUy are stored on a use. 
Ited chip card. The use of a chip card as a data medium does not tie the user to a 
Ll wo rk station, rafter he can become active using any computer in fte network. 
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The chip card is therein usefully also applied for the acquisition of the data relating 
to the extent of usage. 

The copy protection of software objects can, moreover, be ensured in simple manner 
^cTlpondins supplementation of the associated certifies and the separate 

control program. 

Moreover, the control program can check whether or no, requested software objects 
^ already available on the requesting computer and, in the event the result rs 
pltT In initiate the local provision of the software object Repeated tia_on 
ofTLware object to the computer can thus be omitted and the performance can 
be enhanced. ■ 

Overall fhe invention makes possible in a centra, software and right administration 
Centralized software utilization. It is based on teehno.ogies, wmch ensure 
^ security and can meef highest .security requirements. The mvention ako 

—ally .he distribution and usage acquisition of vahd software 
as well as the deletion of versions no longer required. Information about the 

zz £> - - - - ~ — * at any n A r ::iut e 

requisition of me data relating to me exfen, of usage can be earned out penod, ally 

be parameterized, for example, monthly. Users can load onfo and apply 
ZZ 2 only computer connected to the nefwor, The cen^I 
permits the network-wide observation of distribution and utdrzation rules. Yet, 
uTcan enjoy me freedom of carrying out settings according ,o the mdtvdual 
conditions of his work station. 

to the following, details of me invention will be explained in fu*er detail m 
conjunction with an embodiment example depicted in the drawmg. Therem show 

FIG x an overview diagram of the network components required for carrying 

out the method according to the invention, 
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base 45 of the s properties of the md ^ 
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particular software objects is permitted. Typical job positions in the company can be, 
for example: software engineer, director of marketing, executive manager. The 
content of the software object data base can be carried out, for example according ,o 
the specifications of the Security Model by Microsoft. 

The SUC program 42 carries dynamically in a data base 46 the software usage data, 
i.e. the current status of the software used on all work station computers AR. 
Current data can here be queried at any time. 

By means of the USAR program 43 in a data base 47 are defined and administered 
tine relevant job positions as well as the allocation to all users in the network. To 
each user can be assigned one or'several job positions. The number of job positions 
is expandable in any desired way. 

Upon request the ISC program 44 makes available to the users so-called "user 
software certificates" USC, through which the authorization for the use of the 
software is granted. To issue the certificates USC, the ISC program 44 requires access 
to the data bases 47 and 45. 

Communication between the administration computer VR and the work station 
computers usefully takes place via a www-capable server 48, for example Microsoft s 
Internet Information Server or Netscape's Interne. Server. Programs 41, 42, 43 and 44 
can, for example, be acquired as backend applications via so-called CGI senpts. 

The administrator interface to the administration of the SOA and USAR programs 4! 
and 43, or the search interface for the SUC program 42, can, for example, be any 
browser 60 localized in the network. 

On the work station computer AR usefully a further browser 21 is installed which 
handles fire communication with computers VR and NR. The software component 
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22, in the following referred to as SCV program is transmitted from the 
administration computer VR to the work station computer AR following each request 
by the work station computer AR for allocation of software utilization rights together 
with a so-called html page, usefully by means of protocol https, for example, as 
activex control or as "plug-in". The html page represents as a list ASL on the screen 
the permitted access possibilities to the network software. 

Upon a download request, the SCV program verifies by means of the certificates USC 
the rights of use. The SCV program controls furthermore the acquisition of the 
software usage data, for example, number of downloads, usage time of a software, 

etc - 

Programs 24 to 2x are, for example, application programs, which the user has 
downloaded from the network and is applying. 

The chip card 10 is operated via a conventional chip card reader 23 connected to the 
work station computer AR. The card corresponds usefully to standard 7816. For 
reasons of security, a chip card is advantageously one such with cryptocontroller, 
such as for example SLE 44CR80S by Siemens, since it is especially suitable for open 
networks, such as for example the Internet, with security mechanisms operating on 
the basis of public keys. 

Chip card applications and chip card readers can be supported, for example in the 
work station computer AR according to the specifications and interfaces defined by 
the "PC/SC Work Group". Further information can be found at 

http:/ / www.smartcardsys.com. 

Each user on the network receives an individual chip card. Before delivery to the 
user in a so-called personalization process, the chip card is personalized with the 

7 
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personal data of the user, for example by a card producer. At least, as shown in 
Figure 2, a private key 11a and a certificate of the public key lib of the user must be 
stored (personalized) on the card. The private key and the certificate of the public 
key of the user are, for example, generated in a trust center and made available in a 
safe and secured way to the personalization site/ where they are subsequently stored 
on the chip card in conventional processes. 

By means of this key certificate pair lla/llb and a corresponding pair on the 
administration computer VR, a client/server authentication can be carried out at both 
ends and securely, according to currently customary processes, for example SSL V3.0. 
This is the prerequisite for the secure transmission of certificates USC, which the user 
requires for utilizing software. 

Depending on the security requirements, further key certificate pairs 12a/12b - for 
example for integrity protection of certificates USC or the secure communication 
between programs on the administration computer VR and the work station 
computer AR or for the reloading of keys or applications onto the card via the 
network - can be personalized on the chip card or can subsequently be loaded onto 
the chip card in network operation by means of secure processes. 

In the personalization, or also in network operation, application programs 13a to 13x 
are loaded onto the chip card, which serves for the acquisition of the software usage, 
for example number of downloads or time determination. 

In conjunction with Figure 3 the process of the software downloads, the software 
utilization and the usage acquisition will be explained. The following method steps 
are therein carried out: 

100: The user logs onto the administration computer VR and authenticates himself 
by means of the conventional https protocol in SSL dialog using his private 
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key on the chip card. 
200: The administration computer VR also authenticates itself and identifies the 



user. 



210: The administration computer VR evaluating the data bases 45 and 47, makes 
available the contents of the user-specific certificates USC. Certificates for 
those software objects are issued whose job position identification agrees with 
one or several job positions which describe the user. 

A certificate USC can contain, for example: software ID, version no., location in 
the network, size of the software object, type of usage acquisition, time interval 
of the acquisition report to the VR, delete mode, period of validity of the USC, 
ID of the issuing administration computer VR. 

In the type of usage acquisition can be used, for example the following 
parameters: acquisition of the number of downloads, acquisition of the active 
usage time, no acquisition. 

220: The certificates USC made available are integrity protected with the public key 
of the user in the administration computer VR, if appropriate also additionally 
encrypted (with the process customarily used in the Internet) and integrated 
into the html page ASL together with the SCV program 22 transmitted to the 
work station computer AR together with the SCV program 22. 
Since the SCV program in the work station computer AR carries out functions 
which are relevant to security, it should usefully be provided with a digital 
signature of the administration computer VR. 

110: In the work station computer AR the html page ASL is displayed on the 
screen. It indicates all software objects accessible to the user. 
Implicitly contained in the html page is a duration of validity, after the 
expiration of which the page together with the SCV program and the 

9 



THIS PAGE BLANK (uspto) 



certificates USC are destroyed. For the duration of the validity it is kept 
available in the browser and can be called up each time the work station 
computer AR is switched on, without communication with the administration 
computer VR. After each call-up of the SCV program, a verification of the 
• digital signature can preferably take place in order to avoid or discover 
manipulations. 

120: The user can now click on the software objects desired for download. Thereby 
the SCV program is automatically started. The SCV program and the 
particular certificates USC are thereupon verified using the key disposed on 
the chip card. 

130. After positive verification, the SCV program determines the network computer 
address(es) from the certificate(s) USC and establishes the www connection to 
the first network computer NR. (After the download is concluded, if 
appropriate, also to further .network computers NR.) 

130/300: The mutual authentication takes place between work station computer AR 
and network computer NR according to a customary process. 

310/140: Subsequently program 51 can select the desired software object(s) and send 
them to the work station computer AR. 

320: To increase the security, in particular when applying the method in the 

Internet, it can be reasonable to carry out in the network computer NR also a 

verification of the certificates USC by means of program 53 according to 
customary processes. For example, the certificates USC are signed in the work 
station computer AR with the private key of the user and verified in the 
network computer NR with his public key. In this case, the enabling of the 
requested software object from the object data base 52 only occurs after 

10 
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150: 



positive verification, as indicated in dashed lines. 

A further increase of the security can be attained thereby that the software 
object in the network computer NR to be transferred is provided with a digital 
signature and in the work station computer AR a verification takes place 
before utilization. This could uncover falsification of the object during the 
network transmission. 

In the next step on the work station computer AR the SCV program 22 
determines the type of use determined in conjunction with the USC parameters 
and becomes active accordingly. For example, if the parameter "acquisition of 
number of downloads" is set, an object-related counter application on the chip 
card for example 13a in Figure 2, is activated and the counter incremented. 
Counting processes on the chip card are usefully carried out in the customary 
manner under cryptographic security. 

160- The user recognizes afterythe download based on the lis. ASL on the screen 
which software is locally present and can trigger the start by clickmg. 

Thereby simultaneously - if the corresponding USC parameter is set - the 
usage time acquisition is triggered by the SCV and the usage time during the 
active utilization is periodically acquired thereby that the SCV program 22 
from time to time (parameterizable) increments an object-related time counter 
on the chip card, for example 13b in Figure 2. 

After termination of the use of a loaded software object on the work station 
computer AR, the SCV program 22, based on the delete mode parameter, 
decides whether or not the program is being deleted or stored on the work 
station computer AR. 

190: Usage acquisition feedback to the VR is either triggered through the expiration 



170: 



180: 
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of the time interval parameter of a certificate USC or by the expiration of a 
time interval in the SCV program 22. In the case of the certificate triggering 
only the object-related acquisition data belonging to the particular certificate 
USC are affected, in the SCV trigger case the acquisition data of all certificates 
, USC. Accordingly, the associated download counter and usage time counter 
are selected from the chip card 10. 

195/230- After the customary mutual authentication between work station computer 
AR and administration computer VR, the selected counter counts are 
transferred to the administration computer VR. 

240- In the administration computer VR the corresponding acquisition data are 

evaluated by means of the SUC program 42 and entered into the data base 46. 

After pulling the chip card, a dialog box is displayed with the warning that the 
program will be deleted after a specific length of time (parameterizable), if the card is 
not inserted again. 

Through the central administration of the rights of use and usage acquisition 
parameters in the administration computer VR, the described method makes possible 
a network-wide uniform and flexibly adaptable software distribution and utihzation. 
Nevertheless it is possible for the user to change or even determine ind.vidual 
parameters if a corresponding USC parameter permits this degree of freedom. For 
example, the user can decide on his own the deletion or storage of a program after he 
has used it. 

In the case of changes of individual USC parameters by the user, the original 
integrity-protected certificate USC remains unchanged, whereby it is ensured that 
with repeated downloads an integrity verification can be carried out. 
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The functionality can be expanded thereby that an automatic download through the 
SCV program 22 is triggered for the case that a software object during the execution 
calls up another software object, for example OLE technique, which is not available 
on the work station computer AR, whose identity, however, can be determined m 
one of the certificates USC r 

The user in a network can apply the method from any computer connected to the 
network, if he can operate his individual authorization and acquisition chip card on 
this computer. In the case of a computer change, it is only necessary that before the 
first download of a software object he communicate with the administration 
computer in order to have issued the current rights according to the above described 
method. 

With advancing chip card technology the html page with the list ASL and the SCV 
program can be stored on the chip card and be run. In this case communication with 
the VR is superfluous in the event of a computer change. 

From the point of view of the user the method can also be applied to different 
networks independent of one another, for example Intranet for rights of use within 
the own company, Extranet for computers in a partner company, Internet for rights to 
worldwide use. This can take place with one and the same or with separate chip 
cards. When using the same chip card, separate keys for the different administration 
computers VR must be available. 

An expansion of the method is also possible thereby that mechanisms for copy 
protection are incorporated into the described method. For this purpose for software 
objects which are to be copy-protected, using the public key of the user a so-called 
"key file" is generated, which the user receives after the download of the software 
object. Only with this "key file" and using the private key of the user can the 
software object be utilized. 
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By defining a USC parameter "copy-protected" and expanding the functions of the 
program for me required communication between work station computer AR 
and Lustration computer NR a S weU as wo* station computer AR and chm card 
10 according to the methods defined for copy protection, the copy protection can be 
integrated simply into the method explained here. 

For the method, moreover, multifunctional chip cards can be used, which, for 
example, also are applied for other network applications. A combination wdh 
applications for identification in the network is preferably reasonable. Such 
applications can be, for example, www client authentication relative to an Internet 
server www client identification in the case of mail (for example S/MIME) or www 
client 'identification for permission for access rights to network resources. 

The method can generally also be applied - with low security requirements - without 
the use of chip card, The keys and counters disposed on the chip card can, for 
example, also be carried on a disk (for examp.e encrypted with a password), and the 
operations carried ou, on the chip card could be assumed by the SCV program 22. 
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6. 



7. 



8. 



10. 



11. 



Method as claimed in one of claims 1 to 4, in which the data medium (10) can 
be coupled with any desired computers (AR) of the data network (30). 

Method as claimed in one of claims 1 to 5, in which the control program (SCV) 
is checked as to whether or not requested software objects are already 
available on the computer (AR) and, in the event the result is positive, initiates 
the local provision of the software object. 

Method as claimed in one of claims 1 to 6, in which, after the transfer of the 
certificates (USC), an index of the software objects corresponding to the 
certificates is displayed on the screen of the requesting computer (AR) and the 
request for me particular desired software object is triggered by the user. 

Method as claimed in one of claims 1 to 7, in which the provision of the 
software objects can take place through different computers (NR) in the 
network (30). 

Method as claimed in one of claims 1 to 8, in which control parameters 
comprised in the certificates (USC) can be changed by the user without an 
existing integrity protection being lost. 

Method as claimed in one of claims 1 to 9, in which a further program, which 
is denoted in one of the present certificates (USC), called up as software object 
during the running of a program, is automatically requested through the 
separate control program (22) and thereupon transferred to the computer (AR) 
making the request. 

Method as claimed in one of claims 1 to 10, in which the deletion of software 
objects takes place automatically after termination of its utilization. 
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12. 



13. 



14. 



15. 



16. 



17. 



18. 



Method as claimed in one of claims 1 to 11, in which the certificates (USC) 
comprise data regarding the type of acquisition of the usage extent of the 
software objects transferred to a requesting computer (AR) and that the 
separate control program (22) on the basis of these data controls the acquisition 
of the extent of the usage. 

Method as claimed in claim 12, in which the utilization extent takes place by 
counting the transferred software objects. 

Method as claimed in claim 12, characterized in that the [determination of the] 
extent of usage takes place by counting periodically recurring clock pulses. 

Method as claimed in one of claims 12 to 14, in which the acquisition of the 
data regarding the usage extent takes place on the data medium (10). - 

Method as claimed in one of claims 1 to 15, in which in data networks (30) 
with several independent administration instances (VR) for software objects 
each administration instance issues utilization certificates (USC) for the 
software objects belonging to its area of competence. 

Method as claimed in one of claims 1 to 16, in which all establishments of 
connections in the data network (30) and transfers take place under the 
security of keys. 

Method as claimed in claim 17, in which the keys are contained on the data 
medium (10). 
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19. 



Method as claimed in one of claims 1 to 18, characterized in that software 
objects subject to copy protection are secured against copying through 
additional control parameters in the associated certificate (USC) and 
corresponding control functions in the separate control program (22). 



AMENDED SHEET (RULE (91) 
ISA/EP 
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